Citrix ADC

Notas de la versión de Citrix ADC 13.1-24.38

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen para la versión 13.1-24.38 de Citrix ADC.

Notas

Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.

Las compilaciones 13.1-24.38 y posteriores abordan las vulnerabilidades de seguridad descritas en https://support.citrix.com/article/CTX457836.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.1-24.38.

Equilibrio de carga

Soporte de conmutación por error de conexión para el modo INC de alta disponibilidad

Citrix ADC ahora admite la conmutación por error de conexión para el modo INC de alta disponibilidad cuando se cumplen todas las condiciones siguientes:

  • El tipo de servicio de servidor virtual es ANY.
  • El modo es DSR (MAC, IPTUNNEL o TOS).
  • USIP está habilitado en los servicios enlazados al servidor virtual.

[ NSLB-9121 ]

Soporte para registros de la CAA

El dispositivo Citrix ADC ahora admite la adición de registros de autorización de la entidad de certificación (CAA). El registro CAA es un tipo de registro del Sistema de nombres de dominio (DNS) que permite a los propietarios del dominio especificar qué entidad de certificación (CA) puede emitir certificados SSL para el dominio.

Esta mejora proporciona una capa adicional de protección a su presencia en la web. No tener registros de la CAA puede provocar un riesgo de seguridad, ya que cualquiera puede generar una solicitud de firma de certificado (CSR) para el dominio y obtener la firma del certificado por cualquier CA.

[ NSLB-9007 ]

Plataforma

En la plataforma Citrix ADC SDX 8015, la versión de administración de luces apagadas (LOM) se actualiza de 3.21 a 3.56.

En las plataformas Citrix ADC SDX 14000, SDX 14000-40G, SDX 14000-40S y SDX 14000-FIPS, la versión LOM se actualiza de 4.08 a 4.14.

[ NSPLAT-23416 ]

Compatibilidad con Autoscale de backend de Citrix ADC en Azure con VMSS en todos los grupos de recursos

La instancia de Citrix ADC VPX ahora admite el Autoescalado de fondo de Azure en todos los grupos de recursos en los siguientes casos:

La instancia de Azure VMSS y Citrix ADC VPX se implementan en la misma red virtual de Azure. La instancia de Azure VMSS y Citrix ADC VPX se implementan en diferentes redes virtuales de Azure que están en la misma suscripción de Azure. Estas dos redes virtuales deben estar conectadas mediante la función de emparejamiento de redes virtuales de Azure.

Esta función le permite segregar las aplicaciones y los recursos de red en diferentes grupos de recursos.

Anteriormente, Autoscale de back-end de Citrix ADC en Azure solo funcionaba si la instancia de VMSS y Citrix ADC VPX se implementaban en el mismo grupo de recursos.

[ NSPLAT-16664 ]

Sistema

Suscribir contadores en el recopilador de métricas

El dispositivo Citrix ADC ahora admite una opción para suscribir contadores en el recopilador de métricas. El recopilador de métricas admite la exportación de datos de análisis de series temporales cada 30 segundos en diferentes formatos, como AVRO, formato Prometheus y formato Influx DB. El recopilador de métricas admite la actualización dinámica de contadores, lo que le permite agregar los contadores necesarios a un archivo de esquema. Puede configurar el nombre del archivo de esquema mediante la interfaz CLI. El recopilador de métricas lee los nombres de los contadores del archivo de esquema y los exporta.

Anteriormente, el recopilador de métricas solo permitía exportar un conjunto predefinido de contadores en tiempo de compilación. Cualquier cambio en la lista de contadores requería una actualización de la compilación. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/current-release/ns-ag-appflow-intro-wrapper-con/ns-ag-appflow-config-tsk.html.

[ NSBASE-11595 ]

Interfaz de usuario

Configurar alertas de caducidad de licencias de Citrix ADC

Ahora puede configurar el dispositivo Citrix ADC para que realice las siguientes operaciones de alerta durante un número específico de días antes de que caduque una licencia de Citrix ADC:

  • Muestra un anuncio de alerta de caducidad de licencia en la GUI de Citrix ADC.
  • Envía capturas SNMP que contienen la información de caducidad de la licencia a intervalos regulares a los oyentes de capturas configurados si la alarma SNMP NS_LICENSE_EXPIRY está habilitada.

[ NSCONFIG-6360 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.1-24.38.

Autenticación, autorización y auditoría

En una configuración de puerta de enlace unificada, en raras ocasiones se le puede presentar una página de inicio de sesión nuevo al acceder a los servicios detrás de la puerta de enlace unificada, incluso después de que la autenticación se haya realizado correctamente.

[ NSHELP-31148, NSHELP-27994 ]

El SSO basado en formularios falla para los servidores backend que envían parámetros de clave-valor en la consulta de URL.

[ NSHELP-30975 ]

El dispositivo Citrix ADC puede bloquearse debido a una gran asignación de memoria debido a la falta de una URL de destino en la configuración de OAuth.

[ NSHELP-30963 ]

Es posible que experimentes problemas intermitentes con la autenticación RADIUS al usar Chrome en modo incógnito.

[ NSHELP-30944 ]

El módulo Autenticación, autorización y auditoríaD del dispositivo Citrix ADC puede bloquearse debido a una longitud de contraseña entrante faltante o incorrecta del motor de paquetes a Autenticación, autorización y auditoríaD.

[ NSHELP-30911 ]

El dispositivo Citrix ADC se bloquea durante la operación de inserción de nFactor.

[ NSHELP-30577 ]

Puede haber un error intermitente al conectarse al servidor de Exchange de Outlook a través de la aplicación Outlook debido a la adición incorrecta de encabezados por parte del dispositivo Citrix ADC.

[ NSHELP-30555 ]

El dispositivo Citrix ADC puede bloquearse debido a daños en la memoria en caso de que se produzca un error de comunicación de núcleo a núcleo.

[ NSHELP-30275 ]

El inicio de sesión único falla durante una sesión de autenticación cuando se activa el evento de cambio de contraseña. Este problema solo se produce si el parámetro persistentLogin attempts está habilitado.

[ NSHELP-28085 ]

En algunos casos, se muestra un mensaje de error invalid credentials durante el proceso de autenticación RADIUS. El error aparece cuando se accede al dispositivo Citrix ADC desde un dispositivo cliente mediante el explorador Google Chrome.

[ NSHELP-27113 ]

Cuando un dispositivo Citrix ADC realiza una búsqueda de grupos LDAP anidada, se pierde parte de la información de los grupos del directorio activo debido a un comportamiento no válido del dispositivo Citrix ADC. El dispositivo ADC toma un valor incorrecto incluso cuando el parámetro groupSearchSubAttribute está configurado correctamente.

[ NSHELP-26316 ]

El dispositivo Citrix ADC descarga el núcleo cuando NOAUTH se configura como primer factor y Negotiate como el factor posterior en el flujo de autenticación basado en 401.

[ NSHELP-25203 ]

Dispositivo Citrix ADC SDX

En una GUI de Citrix ADC SDX, mostrar los servidores NTP puede congelar la interfaz de usuario si el archivo de configuración NTP (ntp.conf) solo tiene espacios en alguna de las líneas.

[ NSHELP-31530 ]

En un dispositivo Citrix ADC SDX con NIC Mellanox, modificar el rendimiento de una instancia VPX que tiene NIC Mellanox reinicia la instancia VPX.

[ NSHELP-31305 ]

Después de actualizar un dispositivo Citrix ADC SDX a la versión 13.1 compilación 21.50 o posterior, el descifrado SSL y la comparación de MAC pueden fallar. Como resultado, es posible que vea fallas de protocolo de enlace SSL, inestabilidad del estado de VPX, falta de disponibilidad de la GUI de la instancia VPX y caídas de aplicaciones y servidores virtuales.

Nota: Este problema se observa en las plataformas SDX 8900, SDX 15000, SDX 15000-50G, SDX 26000 y SDX 26000-50S.

[ NSHELP-31672 ]

Citrix Gateway

En raras ocasiones, el dispositivo Citrix ADC configurado con el servidor virtual VPN puede fallar después de iniciar sesión correctamente en Citrix Gateway.

[ NSHELP-31481 ]

En una configuración de DTLS de ICA, el dispositivo Citrix Gateway se bloquea al procesar el tíquet de STA.

[ NSHELP-31211 ]

El dispositivo Citrix ADC registra incorrectamente el mensaje UDPFLOWSTAT que indica que el tráfico como Allowed es el tráfico UDP denegado por una directiva de autorización.

[ NSHELP-29542 ]

Se observa una pérdida de memoria en un dispositivo Citrix ADC cuando se configura un proxy saliente.

[ NSHELP-29234 ]

La página Sesión de usuarios activos no muestra todas las sesiones de usuario activas a menos que el número de entradas se cambie a 2000 por página.

Con esta solución, se agrega un nuevo enlace All user session (Citrix Gateway -> Supervisar conexiones > Todas las sesiones de usuario) en la interfaz de usuario de administración que enumera todas las sesiones y conexiones de los usuarios.

[ NSHELP-29151 ]

El resultado del comando show vpn icaConnection no muestra correctamente los números de serie de las conexiones ICA. Este problema se produce porque el número de serie se restablece arbitrariamente cuando show vpn icaconnection se ejecuta.

[ NSHELP-25646 ]

Citrix Web App Firewall

Una directiva de Web App Firewall se puede guardar dos veces en el archivo configuration (ns.conf).

[ NSHELP-30899 ]

En la inyección de SQL de WAF que contiene una comilla (comilla simple, comilla doble o marca inversa), la cotización de apertura y cierre debe estar presente para marcar el patrón como un ataque. Sin embargo, cuando hay un comentario en el patrón, no se requiere la cotización de cierre.

[ NSHELP-30379 ]

Equilibrio de carga

El prefijo de ámbito no se establece correctamente cuando ECS está habilitado en el dispositivo ADC y no se encuentra la ubicación. Este problema provoca la creación de una entrada de persistencia incorrecta. La entrada de persistencia incorrecta se crea en función de la dirección IP de LDNS en lugar de la dirección IP de ECS recibida en la solicitud del método GSLB no estático basado en proximidad.

[ NSHELP-30846 ]

En un caso poco común de condiciones de carrera, el motor de paquetes puede fallar con el volcado de memoria cuando se presenta la siguiente configuración en el dispositivo Citrix ADC:

  • El servidor virtual GSLB está configurado con la persistencia basada en la dirección IP de origen y el registro DNS está habilitado en el perfil DNS enlazado al servicio ADNS.
  • El servidor de equilibrio de carga de DNS está configurado sin el registro de DNS habilitado en el perfil de DNS.

[ NSHELP-29791 ]

Otros

La interfaz de usuario de jQuery del portal se actualiza de 1.12.1 a 1.13.1 para solucionar la vulnerabilidad descrita en los boletines de seguridad: CVE-2021-41182, CVE-2021-41183 y CVE-2021-41184.

[ NSHELP-30209 ]

Redes

En un host Linux basado en Debian (Ubuntu versión 18 y posteriores), un dispositivo Citrix ADC BLX siempre se implementa en modo compartido independientemente de la configuración del archivo de configuración BLX()/etc/blx/blx.conf. Este problema se produce porque mawk, que está presente de forma predeterminada en los sistemas Linux basados en Debian, no ejecuta algunos de los comandos awk presentes en el archivo blx.conf.

[ NSNET-14603 ]

En una configuración NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse mientras recibe tráfico SIP por el siguiente motivo:

  • Las entradas de mapeo y filtrado LSN no están presentes en el dispositivo.

[ NSHELP-30225 ]

El dispositivo Citrix ADC puede bloquearse si desvincula un conjunto de datos de una regla de ACL cuando algunos paquetes coinciden con la regla de ACL.

[ NSHELP-30221 ]

En una configuración NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse mientras recibe tráfico SIP por el siguiente motivo:

  • El recuento de referencias de sesión no es cero al eliminar una entrada de filtrado.

[ NSHELP-29348 ]

Plataforma

En un dispositivo Citrix ADC SDX con imagen de paquete único (SBI) y VPX versiones 13.1-24.x o posteriores, se admite la implementación activa-activa mediante VRRP en NIC de Fortville. Esta implementación no se admite en el modo L2.

Los siguientes puntos se aplican a la implementación:

  • Citrix recomienda eliminar la configuración de VRID del servicio de administración antes de actualizar o degradar la instancia VPX asociada. Agregue la configuración de VRID desde Management Service una vez finalizada la operación de actualización o degradación.
  • Si no sigue la recomendación anterior, debe volver a detectar manualmente las instancias VPX desde Management Service para habilitar la convergencia de VRRP.

[ NSHELP-30670 ]

La conmutación por error de alta disponibilidad para la instancia de Citrix ADC VPX en la nube de GCP y AWS falla cuando la contraseña de un nodo RPC contiene un carácter especial.

[ NSHELP-28600 ]

Directivas

En algunos casos, un dispositivo Citrix ADC puede bloquearse cuando se utiliza una acción de asignación con la operación de borrado de una variable de AppExpert.

[ NSHELP-29766 ]

SSL

Un dispositivo FIPS Citrix ADC MPX/SDX 14000 puede bloquearse debido al uso continuo de API para operaciones de cifrado, por parte de aplicaciones internas como SAML, durante un período de tiempo.

[ NSHELP-27952 ]

Sistema

El recopilador REST está inactivo incluso cuando el parámetro AppFlow TimeSeriesOverNSIP está habilitado.

[ NSHELP-30759 ]

En un dispositivo Citrix ADC, se observa un problema de latencia en las transacciones HTTP/2 si se cumplen las siguientes condiciones:

  • La configuración SSL HTTP/2 está habilitada en el servicio de back-end
  • El servicio no admite el protocolo HTTP/2.

[ NSHELP-30020 ]

El dispositivo Citrix ADC informa de una falsa alarma SNMP en los contadores de inundación SYN del servicio.

[ NSHELP-28710, NSHELP-28713 ]

Interfaz de usuario

Si se actualiza un dispositivo Citrix ADC configurado con licencias agrupadas, es posible que el dispositivo se reinicie con una configuración parcial.

[ NSHELP-30926 ]

En un dispositivo Citrix ADC, el enlace de la directiva de caché para anular el global o el global predeterminado mediante la interfaz GUI falla con el siguiente error:

  • Falta el argumento obligatorio.

Este error no se ve al vincular la directiva de caché mediante la interfaz CLI.

[ NSHELP-30826 ]

El filtro de búsqueda no está disponible para la clave ‘Nombre’ en la página Administrar certificados > CSR de la GUI de Citrix ADC.

[ NSHELP-30274 ]

Problemas conocidos

Los problemas que existen en la versión 13.1-24.38.

AppFlow

HDX Insight no informa de un error de inicio de aplicación causado por un usuario que intenta iniciar una aplicación o un escritorio a los que el usuario no tiene acceso.

[ NSINSIGHT-943 ]

Autenticación, autorización y auditoría

Un dispositivo Citrix ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

[ NSHELP-563 ]

LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

[ NSAUTH-6106 ]

El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando. show adfsproxyprofile <profile name>

Solución alternativa:

Conéctese al Citrix ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

[ NSAUTH-5916 ]

La página Configurar servidor LDAP de autenticación de la GUI de Citrix ADC deja de responder si sigue los pasos siguientes:

  • Se abre la opción Probar accesibilidad LDAP.
  • Las credenciales de inicio de sesión no válidas se rellenan y envían.
  • Las credenciales de inicio de sesión válidas se rellenan y envían.

Solución alternativa:

Cierre y abra la opción Probar accesibilidad de LDAP.

[ NSAUTH-2147 ]

Almacenamiento en caché

Es posible que un dispositivo Citrix ADC se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

[ NSHELP-22942 ]

Dispositivo Citrix ADC SDX

En un dispositivo Citrix ADC SDX, si el CLAG se crea en una NIC Mellanox, la MAC de CLAG cambia cuando se reinicia la instancia VPX. El tráfico a la instancia VPX se detiene tras el reinicio porque la tabla MAC tiene la antigua entrada MAC de CLAG.

[ NSSVM-4333 ]

La instalación de un certificado SSL en un dispositivo Citrix ADC SDX falla si el nombre del certificado o el nombre de la clave contienen algún espacio.

[ NSHELP-31711 ]

En un dispositivo Citrix ADC SDX, las instancias de ADC no alcanzan su capacidad máxima al configurar el modo de asignación de rendimiento en ráfagas.

[ NSHELP-27477 ]

Las caídas de paquetes se observan en una instancia VPX alojada en un dispositivo Citrix ADC SDX si se cumplen las siguientes condiciones:

  • El modo de asignación de rendimiento está en ráfaga.
  • Existe una gran diferencia entre el rendimiento y la capacidad máxima de ráfaga.

[ NSHELP-21992 ]

Citrix Gateway

Cuando se configura AlwaysOn, se produce un error en el túnel de usuario debido al número de versión incorrecto (1.1.1.1) en el archivo aoservice.exe.

[ NSHELP-30662 ]

Los usuarios no pueden conectarse al dispositivo Citrix Gateway después de cambiar el parámetro “networkAccessOnVPNFailure” siempre en el perfil de “fullAccess” a “onlyToGateway”.

[ NSHELP-30236 ]

La página principal de la puerta de enlace no se muestra inmediatamente después de que el plug-in de puerta de enlace establezca el túnel VPN correctamente. Para solucionar este problema, se introduce el siguiente valor de registro. \HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds Tipo: DWORD

[ NSHELP-30189 ]

El cliente VPN de Windows no respeta la alerta de “notificación de cierre SSL” del servidor y envía la solicitud de inicio de sesión de transferencia en la misma conexión.

[ NSHELP-29675 ]

En algunos casos, el código de validación del servidor falla cuando se confía en el certificado del servidor. Como resultado, los usuarios finales no pueden acceder a la puerta de enlace.

[ NSHELP-28942 ]

Es posible que observe algunas direcciones IP internas de Citrix en el archivo rdx.js.

[ NSHELP-28682 ]

La autenticación de certificados de cliente falla para Citrix SSO para macOS si no hay certificados de cliente en el llavero de macOS.

[ NSHELP-28551 ]

A veces, se desactiva la sesión de un usuario en Citrix Gateway en unos segundos cuando se establece el tiempo de espera por inactividad del cliente.

[ NSHELP-28404 ]

No se puede desvincular una directiva de autorización clásica mediante la interfaz gráfica de usuario. Sin embargo, puede usar la CLI para desvincular la directiva Autenticación, autorización y autorización de auditoría.

Con esta corrección, ahora puede desvincular la directiva de autorización mediante la interfaz gráfica de usuario.

[ NSHELP-27064 ]

El complemento EPA para Windows no utiliza el proxy configurado del equipo local y se conecta directamente al servidor de puerta de enlace.

[ NSHELP-24848 ]

Gateway Insight no muestra información precisa sobre los usuarios de VPN.

[ NSHELP-23937 ]

El complemento VPN no establece un túnel después del inicio de sesión de Windows si se cumplen las siguientes condiciones:

  • El dispositivo Citrix Gateway está configurado para la función Always On
  • El dispositivo está configurado para la autenticación basada en certificados con autenticación de dos factores off

[ NSHELP-23584 ]

A veces, al navegar por los esquemas, aparece el mensaje de error Cannot read property 'type' of undefined.

[ NSHELP-21897 ]

Si quiere utilizar la funcionalidad Always On VPN antes de iniciar sesión en Windows, se recomienda actualizar a Citrix Gateway 13.0 o posterior. Esto le permite aprovechar las mejoras adicionales introducidas en la versión 13.0 que no están disponibles en la versión 12.1.

[ CGOP-19355 ]

El error de inicio de la aplicación debido a un tíquet STA no válido no se informa en Gateway Insight.

[ CGOP-13621 ]

El informe Gateway Insight muestra incorrectamente el valor Local en lugar de SAML en el campo Tipo de autenticación para los errores de SAML.

[ CGOP-13584 ]

En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

[ CGOP-13511 ]

Cuando se inicia una conexión ICA desde un receptor MAC versión 19.6.0.32 o Citrix Virtual Apps and Desktops versión 7.18, la función HDX Insight se inhabilita.

[ CGOP-13494 ]

Cuando la función EDT Insight está habilitada, a veces los canales de audio pueden fallar durante una discrepancia de red.

[ CGOP-13493 ]

Al aceptar conexiones de host local desde el explorador web, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés independientemente del idioma seleccionado.

[ CGOP-13050 ]

El texto Home Page de la página de inicio de la aplicación Citrix SSO > aparece cortado para algunos idiomas.

[ CGOP-13049 ]

Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de Citrix ADC.

[ CGOP-11830 ]

En Outlook Web App (OWA) 2013, al hacer clic en Opciones, en el menú Configuración, aparece el cuadro de diálogo Error crítico. Además, la página deja de responder.

[ CGOP-7269 ]

Equilibrio de carga

En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

[ NSLB-7679 ]

El formato serviceGroupName de la captura entityofs del grupo de servicios es el siguiente: <service(group)name>?<ip/DBS>?<port>

En el formato de captura, el grupo de servicios se identifica mediante una dirección IP o un nombre y puerto de DBS. El signo de interrogación (?) se utiliza como separador. Citrix ADC envía la captura con el signo de interrogación (?). El formato aparece igual en la GUI de Citrix ADM. Este es el comportamiento esperado.

[ NSHELP-28080 ]

En algunos casos, los servidores enlazados a un grupo de servicios muestran un valor de cookie no válido. Puede ver el valor correcto de la cookie en los registros de seguimiento.

[ NSHELP-21196 ]

Otros

Cuando se produce una sincronización forzada en una configuración de alta disponibilidad, el dispositivo ejecuta el comando set urlfiltering parameter en el nodo secundario. Como resultado, el nodo secundario omite cualquier actualización programada hasta la siguiente hora programada mencionada en el parámetro TimeOfDayToUpdateDB.

[ NSSWG-849 ]

Un dispositivo Citrix ADC puede reiniciarse debido al estancamiento de la CPU de administración si se produce un problema de conectividad con el proveedor externo de filtrado de URL.

[ NSHELP-22409 ]

Redes

En un dispositivo Citrix ADC BLX compatible con DPDK, las VLAN etiquetadas no son compatibles con los puertos NIC DPDK Intel i350. Esto se observa, ya que es un problema conocido presente en el controlador DPDK.

[ NSNET-25299 ]

Es posible que un dispositivo Citrix ADC BLX con DPDK no se reinicie si se cumplen todas las condiciones siguientes:

  • El dispositivo Citrix ADC BLX se asigna con un número bajo de hugepages. Por ejemplo, 1G.
  • El dispositivo Citrix ADC BLX se asigna con una gran cantidad de procesos de trabajo. Por ejemplo, 28.

El problema se registra como un mensaje de error en /var/log/ns.log:

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

Nota: x es un número <= número de procesos de trabajo.

Solución alternativa:

Asigne un número elevado de hugepages y, a continuación, reinicie el dispositivo.

[ NSNET-25173 ]

Es posible que un dispositivo Citrix ADC BLX con DPDK no se reinicie si se cumple la siguiente condición:

  • Al dispositivo Citrix ADC BLX se le asigna una gran cantidad de hugepages. Por ejemplo, 16 GB.

El problema se registra como un mensaje de error en /var/log/ns.log:

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

Solución alternativa:

Use una de las siguientes soluciones para este problema:

  • Aumente el límite de archivos abiertos en el host Linux mediante el uso del comando ulimit o la modificación del archivo limits.conf.
  • Reduzca el número de hugepages asignadas.

[ NSNET-24727 ]

Un dispositivo Citrix ADC BLX en modo DPDK puede tardar un poco más en reiniciarse debido a la funcionalidad de facilidad de DPDK.

[ NSNET-24449 ]

Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo Citrix ADC BLX con DPDK:

  • Disable
  • Enable
  • Reset

[ NSNET-16559 ]

La instalación de un dispositivo Citrix ADC BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Solución alternativa:

Ejecute los siguientes comandos en la CLI del host Linux antes de instalar un dispositivo Citrix ADC BLX:

  • dpkg — agregar arquitectura i386
  • actualización apt-get
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[ NSNET-14602 ]

En algunos casos de conexiones de datos FTP, el dispositivo Citrix ADC solo realiza operaciones NAT y no procesamiento TCP en los paquetes para la negociación TCP MSS. Como resultado, la MTU de interfaz óptima no está configurada para la conexión. Esta configuración de MTU incorrecta provoca la fragmentación de los paquetes y afecta al rendimiento de la CPU.

[ NSNET-5233 ]

Cuando se cambia un límite de memoria de la partición de administración en el dispositivo Citrix ADC, el límite de memoria intermedia TCP se establece automáticamente en el nuevo límite de memoria de la partición de administración.

[ NSHELP-21082 ]

Plataforma

La conmutación por error de alta disponibilidad no funciona en las nubes de AWS y GCP. La CPU de administración puede alcanzar su capacidad del 100% en las nubes de AWS y GCP, y en Citrix ADC VPX en las instalaciones. Ambos problemas se producen cuando se cumplen las siguientes condiciones:

  1. Durante el primer arranque del dispositivo Citrix ADC, no guarda la contraseña solicitada.
  2. Posteriormente, reinicie el dispositivo Citrix ADC.

[ NSPLAT-22013 ]

Cuando actualiza de compilaciones 13.0/12.1/11.1 a una versión 13.1 o baja de una compilación 13.1 a 13.0/12.1/11.1, algunos paquetes python no se instalan en los dispositivos Citrix ADC. Este problema se ha solucionado en las siguientes versiones de Citrix ADC:

  • 13.1-4.x
  • 13.0-82.31 y posteriores
  • 12.1-62.21 y posteriores

Los paquetes python no se instalan cuando se degrada la versión de Citrix ADC de la versión 13.1-4.x a cualquiera de las siguientes versiones:

  • Cualquier compilación 11.1
  • 12.1-62.21 y anteriores
  • 13.0-81.x y anteriores

[ NSPLAT-21691 ]

En una configuración de clúster en un dispositivo Citrix ADC SDX, hay una discordancia de CLAG MAC en el segundo nodo y CLIP si se cumplen las siguientes condiciones:

  • El CLAG se crea en una NIC Mellanox.
  • Agrega otra instancia VPX al clúster y a la configuración de CLAG.

Como resultado, el tráfico a la instancia VPX se detiene.

[ NSPLAT-21049 ]

En una configuración de clúster en un dispositivo Citrix ADC SDX, el primer nodo se cae debido a una discordancia de direcciones MAC en la tabla CLIP y MAC, si se cumplen las siguientes condiciones:

  • El CLAG se crea en una NIC Mellanox.
  • Quita el segundo nodo del clúster.

[ NSPLAT-21042 ]

Al eliminar una configuración de escalabilidad automática o un conjunto de escalas de VM de un grupo de recursos de Azure, elimine la configuración del perfil de nube correspondiente de la instancia de Citrix ADC. Utilice el comando rm cloudprofile para borrar el perfil.

[ NSPLAT-4520 ]

En una configuración de alta disponibilidad en Azure, al iniciar sesión en el nodo secundario a través de la GUI, aparece la pantalla de usuario por primera vez (FTU) para la configuración del perfil de nube de escalabilidad automática. Solución temporal: omita la pantalla e inicie sesión en el nodo principal para crear el perfil de nube. El perfil de la nube siempre debe configurarse en el nodo principal.

[ NSPLAT-4451 ]

A partir de la versión 13.1 de Citrix ADC, el dispositivo Citrix ADC no se inicia en un hipervisor ESXi con más de 8 interfaces de red VMXNET3.

[ NSHELP-31266 ]

Directivas

Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es mayor que el tamaño de búfer TCP predeterminado configurado.Solución temporal: establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

[ NSPOLICY-1267 ]

SSL

En un clúster heterogéneo de dispositivos Citrix ADC SDX 22000 y Citrix ADC SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

Solución alternativa:

  1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo, set ssl vserver <name> -SSL3 DISABLED.
  2. Guarde la configuración.

[ NSSSL-9572 ]

No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

[ NSSSL-6478 ]

Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

[ NSSSL-6213 ]

El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM. ERROR: Actualización de crl inhabilitada

[ NSSSL-6106 ]

La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster. (Esta opción no se puede desactivar).

[ NSSSL-4427 ]

Aparece Warning: No usable ciphers configured on the SSL vserver/service,, un mensaje de advertencia incorrecto, si intenta cambiar el protocolo o el cifrado SSL en el perfil SSL.

[ NSSSL-4001 ]

Un tíquet de sesión caducado se respeta en un nodo que no es de CCO y en un nodo de alta disponibilidad después de una conmutación por error de alta disponibilidad. [ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

En los dispositivos con certificación FIPS MPX 8900 y MPX 15000, la ejecución del tráfico ECDHE puede provocar una pérdida de memoria.

[ NSHELP-30744 ]

Sistema

El valor MAX_CONCURRENT_STREAMS se establece en 100 de forma predeterminada si el dispositivo no recibe el marco de configuración max_concurrent_stream del cliente.

[ NSHELP-21240 ]

Los contadores mptcp_cur_session_without_subflow disminuyen incorrectamente a un valor negativo en lugar de cero.

[ NSHELP-10972 ]

En una implementación de clúster, si ejecuta un comando force cluster sync en un nodo que no es de CCO, el archivo ns.log contiene entradas de registro duplicadas. [ NSBASE-16304, NSGI-1293 ]

Cuando instala Citrix ADM en un clúster de Kubernetes, no funciona según lo esperado porque es posible que los procesos necesarios no aparezcan.

Solución alternativa: reinicie el pod de administración.

[ NSBASE-15556 ]

La IP del cliente y la IP del servidor se invierten en el registro SkipFlow de HDX Insight cuando el tipo de transporte LogStream se configura para Insight.

[ NSBASE-8506 ]

El dispositivo Citrix ADC descarta paquetes que contienen encabezados HTTP personalizados con un punto (“. “) en el campo del nombre del encabezado. Esta acción se produce porque el parámetro allowOnlyWordCharactersAndHyphen está habilitado de forma predeterminada en el perfil HTTP predeterminado.

Solución temporal: Inhabilite allowOnlyWordCharactersAndHyphen en el perfil HTTP predeterminado. Sin embargo, Citrix recomienda mantenerla habilitada.

[ NSBASE-16722 ]

Interfaz de usuario

Para la función Reescritura de MQTT, no puede eliminar una expresión mediante el Editor de expresiones en la GUI.

Solución alternativa:

Use el comando de acción add o edit de tipo MQTT a través de la CLI.

[ NSUI-18049 ]

En la GUI de Citrix ADC, el enlace Help presente debajo de la ficha Dashboard no funciona.

[ NSUI-14752 ]

El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

Solución alternativa:

Configure los conectores de cloudbridge agregando perfiles IPSec, túneles IP y reglas PBR mediante la GUI o la CLI de Citrix ADC.

[ NSUI-13024 ]

Si crea una clave ECDSA mediante la interfaz gráfica de usuario, no se muestra el tipo de curva.

[ NSUI-6838 ]

En una configuración de alta disponibilidad, las sesiones de usuario VPN se desconectan si se cumple la siguiente condición:

  • Si se realizan dos o más operaciones de failover manual de alta disponibilidad sucesivas cuando la sincronización de alta disponibilidad está en curso.

Solución alternativa:

Realice una conmutación por error manual de alta disponibilidad sucesiva solo después de que se haya completado la sincronización de alta disponibilidad (ambos nodos están en estado de sincronización correcta).

[ NSHELP-25598 ]

En una configuración de alta disponibilidad de los dispositivos Citrix ADC BLX, es posible que el nodo principal deje de responder bloqueando cualquier solicitud de CLI o API.

Solución alternativa:

Reinicie el nodo principal.

[ NSCONFIG-6601 ]

Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.

  1. Actualice el dispositivo Citrix ADC a una de las compilaciones:
  • 13.0 52.24 compilación
  • 12.1 57,18 compilación
  • 11.1 65.10 compilación
  1. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
  2. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.

Para mostrar la lista de estos usuarios del sistema mediante la CLI: En el símbolo del sistema, escriba:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solución alternativa:

Para solucionar este problema, utilice una de las siguientes opciones independientes:

  • Si el dispositivo Citrix ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo Citrix ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
  • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
  • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[ NSCONFIG-3188 ]

Notas de la versión de Citrix ADC 13.1-24.38